Por Jacob Reeder y Jodi Daniel
Jacobo: Recientemente tuve que firmar un Acuerdo de Socio Comercial (BAA) con un importante proveedor de alojamiento para un nuevo proyecto de TI para la salud. Un ejercicio educativo de varias semanas sobre el cumplimiento básico de HIPAA debería haber sido sencillo. Y cuando digo “básico”, en realidad me refiero a básico, como en la definición misma.
Esto es lo que sucedió y por qué debe estar atento si está desarrollando tecnología de atención médica.
Estoy desarrollando un sistema que automatiza la extracción de datos clínicos para estudios de investigación. Como cualquier empresa responsable de tecnología sanitaria, necesito una infraestructura que cumpla con HIPAA. La empresa (la llamaré empresa de alojamiento o HC) es técnicamente sólida y aloja nuestro entorno de desarrollo, por lo que me inscribí en su plan de soporte extendido (que es necesario antes de que consideren BAA) y solicité su contrato estándar.
el problema
La BAA de HC considera a cada cliente como una “entidad cubierta”. Esto significa un plan de salud, una cámara de compensación de atención médica o un proveedor de atención médica que transmite información de salud electrónicamente.
Pero ese no soy yo. No soy una entidad cubierta. Soy Socio Comercial (BA). Manejo información de salud protegida en nombre de entidades cubiertas. Cuando necesito infraestructura en la nube, solicito a mis proveedores que firmen conmigo BAA de subcontratista.
delante y detrás
Cuando le dije al Tribunal Superior que no podía firmar su BAA por escrito, se dirigieron a su departamento legal. Días después, un líder del equipo regresó con esta respuesta:
“Para HC, incluso si usted es una asociación subcontratada o subcontratada en el futuro. Seguiría siendo un contrato entre la entidad cubierta y la HC dentro del contrato… por lo que incluso siendo un socio comercial, se consideraría una entidad cubierta porque es su negocio el que está cubierto”.
Tuve que leerlo dos veces. Simplemente está mal.
jody: Permítanme hablar aquí de la perspectiva jurídica, porque esta confusión es más común de lo que debería ser.
Los términos “entidad cubierta” y “socio comercial” no son términos de marketing intercambiables. Tienen definiciones legales específicas en 45 CFR § 160.103. No se pueden redefinir simplemente porque sea conveniente desde el punto de vista administrativo. Generalmente… las entidades cubiertas son (en su mayoría) proveedores de atención médica, planes de salud y cámaras de compensación de atención médica; Los socios comerciales son entidades que tienen acceso a información de salud protegida para realizar servicios en nombre de la entidad cubierta; Y los subcontratistas son personas físicas en quienes un socio comercial delega una función, actividad o servicio.
Esto es lo que realmente dice el reglamento:
45 CFR § 164.502(e) requiere que las entidades cubiertas tengan BAA con entidades que utilizan información de salud protegida para brindar servicios en su nombre (por ejemplo, sus socios comerciales o BA). Según 45 CFR § 164.502(e)(1)(ii) y § 164.308(b)(2), BA no sólo está autorizada sino necesario Ejecutar BAA de subcontratista con otros proveedores que crean, reciben, mantienen o transmiten PHI en su nombre.
Cuando eso suceda, el subcontratista También Se convierte en BA (a veces denominado “socio comercial de socio comercial” o “subcontratista”). Las obligaciones de HIPAA caen en cascada a lo largo de la cadena. entidad cubierta No Se requieren BAA con los subcontratistas. 45 CFR § 164.502(e)(1)(i).
Esto es exactamente lo que está sucediendo en la situación de Jacob:
- La entidad cubierta (el proveedor de atención médica del estudio de investigación) tiene un BAA con la empresa de Jacob (lo convierte en un BAA).
- Jacob’s Company debe tener un BAA con cualquier subcontratista, como HC, que pueda manejar la PHI en nombre de Jacob’s Company.
- HC se convierte en BA a través de esta relación de subcontratación.
La distinción es importante a efectos de cumplimiento y auditoría. Los auditores de OCR, SOC 2 y evaluadores de HITRUST esperan Cadena contractual Para reflejar el flujo de datos real. Equivocarse con la terminología no sólo es semánticamente molesto: es tergiversar la relación entre las regulaciones y las partes en un documento legal.
Jacobo: Sí… y aquí está el problema práctico: no podía firmar legalmente un documento diciendo que mi empresa era una entidad cubierta cuando no lo era.
Le expliqué esto a HC, cité las secciones específicas del CFR que mencionó Jodi e incluso envié ejemplos del BAA de Google Cloud, que rige tanto a las entidades cubiertas como a los BA en el mismo documento.
El equipo de HC dijo que solicitarían un cambio de idioma y me complace informar que (unas tres semanas después) ejecutamos un BAA adecuado.
¿Qué significa esto para ti?
jody: Tienes razón, Jacobo. No es apropiado firmar un documento que diga que usted es una entidad cubierta cuando no lo es. Si está desarrollando tecnología sanitaria, esto es lo que necesita saber:
- Comprenda su papel en el marco de HIPAA. ¿Es usted una entidad cubierta o un BA? La mayoría de las empresas de tecnología BA. Si brinda servicios a proveedores de atención médica, planes de salud o cámaras de compensación y maneja la PHI en el proceso, es casi seguro que sea un BA (o un BA subcontratista), no un CE.
- Lea atentamente el BAA antes de firmar. La terminología importa. Si el BAA de un proveedor solo considera a las entidades cubiertas como clientes, es una señal de alerta de que no han pensado detenidamente en el escenario del subcontratista. (Y los requisitos detallados de la materia BAA también, pero ese es un tema para otro blog).
- No tengas miedo de retroceder. Si un proveedor insiste en que firme algo que tergiversa su función, pídale que revise el lenguaje o lo remita a un abogado que entienda HIPAA.
Jacobo: Y entonces…
- Prepárate para educar. Los equipos legales de muchos proveedores de nube (y sus abogados) no comprenden completamente los requisitos en cascada de HIPAA. Es posible que tengas que explicarles cómo hacerlo. Indíqueles los ejemplos de AWS, Google Cloud o Microsoft Azure, todos los cuales han abordado este tema miles de veces.
- Presupuestar tiempo para este proceso. Podría llevar una semana o más si se encuentra con una confusión legal. Planifique en consecuencia, especialmente si tiene una fecha límite de lanzamiento.
panorama general
Jacobo: HC no es único. He visto esta misma confusión en pequeños proveedores de alojamiento, empresas de SaaS e incluso en algunas grandes empresas de tecnología. La complejidad regulatoria de la industria de la salud significa que los proveedores a menudo copian las plantillas de BAA sin entenderlas realmente.
¿La ironía? HC te hace pagar más por el “privilegio” de firmar su BAA. Cobran por soporte avanzado como requisito previo. No todos los proveedores de nube u otras plataformas tecnológicas cobran más.
jody: Desde una perspectiva legal, esta situación pone de relieve un problema más amplio en la tecnología sanitaria. A medida que más organizaciones no relacionadas con el cuidado de la salud ingresan al espacio (proveedores de nube, empresas de inteligencia artificial, plataformas SaaS), muchas enfrentan los requisitos de HIPAA por primera vez. Sus equipos legales pueden ser excelentes en transacciones técnicas o derecho comercial general, pero no estar familiarizados con cuestiones regulatorias de atención médica.
La buena noticia es que se puede solucionar. Los cambios en la plantilla de BAA realizados por HC no son complicados. Solo necesitan agregar un lenguaje que concilie ambas situaciones: clientes que son entidades cubiertas y clientes que son BA.
BAA de Google Cloud Lo hace de manera elegante en una sola frase: “Este BAA se aplica en la medida en que el Cliente actúe como una entidad cubierta o un socio comercial”. Eso es todo. Resuelve el problema.
Por supuesto… tiene sentido contar con un abogado que entienda HIPAA antes de firmar, ya que hay muchas otras cuestiones que podrían afectar su negocio y el uso de su PHI.
Jacobo: En pocas palabras: si se encuentra en una situación similar, consulte las secciones específicas del CFR (45 CFR § 160.103, § 164.502(e)(1)(ii) y § 164.308(b)(2)), muestre ejemplos de trabajo de sus principales proveedores de nube y esté preparado para marcharse si no lo solucionan.
Jacob Reider MD Director ejecutivo de Huddle Health Solutions, director de salud de WavelyDx, y ex Coordinador Nacional Adjunto de TI en Salud en la Oficina del Coordinador Nacional. Jody Daniel Wilson es socia de Sonsini Goodrich & Rosati y fue directora fundadora de la Oficina del Coordinador Nacional de TI en Salud.
